GitHub عرضه ۲FA را آغاز می کند

گیت هاب هفته آینده شروع به انتخاب حساب ها برای ثبت نام در احراز هویت دو مرحله ای خواهد کرد. همه کاربران باید تا پایان سال از ۲FA استفاده کنند.

به دنبال تعهدی که در سال گذشته انجام شد، GitHub در ۱۳ مارس شروع به مرحله‌بندی الزامات احراز هویت دو مرحله‌ای (۲FA) برای توسعه‌دهندگانی می‌کند که کد را در سایت اشتراک‌گذاری کد محبوب مشارکت می‌دهند. همه برنامه‌نویس‌ها باید تا پایان سال از آن پیروی کنند.

گروه‌های کوچک‌تر باید از هفته آینده در ۲FA ثبت‌نام کنند، و GitHub حساب‌هایی را برای ثبت‌نام انتخاب می‌کند، این شرکت در ۹ مارس گفت. یک یا چند فرم از ۲FA مورد نیاز خواهد بود که بر میلیون ها توسعه دهنده تأثیر می گذارد. افراد انتخاب شده از طریق ایمیل مطلع می شوند و بنری را در GitHub.com مشاهده می کنند که از آنها می خواهد ثبت نام کنند. کاربران ۴۵ روز فرصت خواهند داشت تا ۲FA را در حساب های خود پیکربندی کنند. اعلان‌ها را می‌توان به مدت یک هفته «به تعویق انداخت» یا متوقف کرد. این عرضه تدریجی برای کمک به GitHub در نظر گرفته شده است تا اطمینان حاصل کند که کاربران با تنظیمات مورد نیاز، قبل از اینکه فرآیند به گروه‌های بزرگتر در طول سال تقسیم شود، اطمینان حاصل کند.

با الزام استفاده از ۲FA، GitHub در تلاش است تا با بهبود امنیت حساب، توسعه نرم افزار را ایمن کند. GitHub گفت که حساب های توسعه دهندگان اغلب برای مهندسی اجتماعی و تصاحب حساب هدف قرار می گیرند.

کاربران می‌توانند بین روش‌های ۲FA مانند TOTP (گذرواژه یک‌بار مصرف مبتنی بر زمان)، پیامک (سرویس پیام کوتاه)، کلیدهای امنیتی یا GitHub Mobile به عنوان روش ترجیحی ۲FA انتخاب کنند. GitHub توصیه می کند تا جایی که ممکن است از کلیدهای امنیتی و TOTP استفاده کنید. این شرکت گفت که پیامک همان سطح محافظت را ارائه نمی دهد و دیگر تحت NIST 800-63B توصیه نمی شود.

GitHub اشاره کرد که کاربران می‌توانند هم یک برنامه احراز هویت (TOTP) و هم یک شماره پیامک. کاربران پس از ۲۸ روز پیامی را مشاهده می کنند که از آنها می خواهد ۲FA را انجام دهند و تنظیمات فاکتور دوم خود را تأیید کنند. این درخواست به جلوگیری از قفل شدن حساب به دلیل پیکربندی نادرست برنامه های احراز هویت کمک می کند. در صورتی که کاربران نتوانند به سیستم وارد شوند یا آن را بازیابی کنند، می توانند آدرس ایمیل خود را با حساب GitHub فعال دو عاملی لغو پیوند کنند.

همچنین، کلیدهای عبور، جایگزینی برای رمزهای عبور، به صورت داخلی در حال آزمایش هستند. GitHub معتقد است این فناوری سهولت استفاده را با احراز هویت قوی و مقاوم در برابر فیشینگ ترکیب خواهد کرد.